Gegevensbeschermingseffectbeoordeling (DPIA) - samenvatting
Dit is een concept dat nog door een jurist of functionaris voor gegevensbescherming (DPO) nagekeken moet worden voor de definitieve lancering.
Deze interne samenvatting beschrijft de gegevensbeschermingseffectbeoordeling (DPIA) voor KLUPP, het clubbeheerplatform van Kompleet Comm.V (klupp.app), conform artikel 35 AVG en de handleiding van de Gegevensbeschermingsautoriteit (GBA).
1. Waarom is deze DPIA verplicht?
Een DPIA is verplicht wanneer een verwerking waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van betrokkenen. De verwerkingen binnen KLUPP raken meerdere criteria uit de GBA-lijst en de EDPB-richtsnoeren tegelijk, waardoor een DPIA aangewezen is.
De belangrijkste redenen worden hieronder opgesomd.
- Bijzondere categorie van persoonsgegevens (art. 9 AVG): het platform verwerkt beperkte medische noodinformatie van spelers (allergieen, noodmedicatie, blessures, attest ja of nee).
- Kwetsbare betrokkenen: een groot deel van de spelers zijn minderjarigen, waaronder kinderen onder de 13 jaar. Kinderen genieten bijzondere bescherming onder de AVG.
- Systematische en grootschalige verwerking: KLUPP verwerkt op gestructureerde en terugkerende wijze lidmaatschaps-, wedstrijd-, beschikbaarheids- en betalingsgegevens voor meerdere clubs binnen eenzelfde platform (multi-tenant).
- Combinatie van meerdere gegevenscategorieen over dezelfde persoon (identiteit, sportieve activiteit, medische noodinfo, financiele status), wat een profiel oplevert dat gevoeliger is dan de losse onderdelen.
2. Systematische beschrijving van de verwerkingen
KLUPP is een SaaS-platform voor clubbeheer van (jeugd)voetbalclubs in Belgie. Clubs beheren via het platform hun leden, ploegen, kalender en communicatie.
Belangrijk is de rolverdeling. De aangesloten CLUB is verwerkingsverantwoordelijke voor de ledendata: de club bepaalt waarom en hoe de gegevens van haar leden worden verwerkt. KLUPP (Kompleet Comm.V) treedt op als VERWERKER die deze gegevens namens de club verwerkt, op basis van een verwerkersovereenkomst (art. 28 AVG). Voor het eigen accountbeheer en de algemene platformwerking (bijvoorbeeld het beheer van de inloggegevens en de facturatie aan de club) is KLUPP zelf verwerkingsverantwoordelijke.
De verwerkte gegevenscategorieen en hun doeleinden zijn de volgende.
- Identiteitsgegevens: naam, e-mailadres, geboortejaar. Doel: ledenadministratie en identificatie.
- Lidmaatschapsgegevens: ploeg, lidmaatschapsstatus, KBVB-nummer. Doel: teamindeling en aansluiting bij de bond.
- Sportieve gegevens: wedstrijd- en trainingsdata, beschikbaarheden. Doel: planning en opstelling.
- Financiele gegevens: lidgeld-status. Doel: opvolging van betalingen.
- Communicatiegegevens: berichten tussen club, coach en lid of ouder. Doel: clubcommunicatie.
- Medische noodinformatie (bijzondere categorie, art. 9 AVG): beperkte gegevens zoals allergieen, noodmedicatie, blessures en de indicatie of er een medisch attest is. Doel: veiligheid van de speler tijdens trainingen en wedstrijden.
3. Rechtsgronden en toestemming van minderjarigen
De gewone ledengegevens worden voornamelijk verwerkt op grond van de uitvoering van het lidmaatschap en het gerechtvaardigd belang van de club bij een goede werking. Betalings- en boekhouddata steunen mede op een wettelijke (fiscale) verplichting.
Voor de medische noodinformatie geldt een strengere regel. Deze bijzondere gegevens worden enkel verwerkt op basis van de uitdrukkelijke toestemming van de betrokkene of, bij minderjarigen, van de ouder of wettelijke vertegenwoordiger (art. 9.2 a AVG).
Voor minderjarigen wordt de Belgische digitale toestemmingsgrens van 13 jaar toegepast (Wet van 30 juli 2018). Voor kinderen jonger dan 13 jaar is steeds ouderlijke toestemming vereist. Het platform moet dus voorzien in een sluitende manier om ouderlijke toestemming te vragen en te registreren voor spelers onder die leeftijd.
Actiepunt voor de DPO of jurist: de exacte formulering van de toestemmingsteksten en het mechanisme om de leeftijd en de ouderlijke toestemming vast te leggen, moet nog worden gevalideerd.
4. Noodzaak en evenredigheid
De verwerkingen zijn beperkt tot wat nodig is voor het beheer van een voetbalclub en de veiligheid van de spelers (dataminimalisatie, art. 5.1 c AVG).
De medische informatie wordt bewust beperkt gehouden tot NOODinformatie. Er wordt geen volledig medisch dossier bijgehouden, enkel wat een coach of bestuurslid in een noodsituatie moet weten. Dit houdt de verwerking evenredig met het doel (de veiligheid van de speler).
Elke gegevenscategorie is gekoppeld aan een concreet en gerechtvaardigd doel. Er worden geen gegevens verzameld voor doeleinden die losstaan van de clubwerking. Betrokkenen krijgen transparante informatie via de privacyverklaring en kunnen hun rechten uitoefenen (zie sectie 9).
5. Risico's voor de betrokkenen
De beoordeling identificeert de volgende voornaamste risico's voor de rechten en vrijheden van de betrokkenen, met bijzondere aandacht voor de kwetsbaarheid van minderjarigen en de gevoeligheid van medische data.
- Datalek van medische noodinfo: onbevoegde inzage of uitlekken van gezondheidsgegevens van (minderjarige) spelers. Impact: hoog, want het gaat om bijzondere gegevens van kwetsbare personen.
- Datalek of misbruik van gegevens van minderjarigen: identiteits- en contactgegevens van kinderen die in verkeerde handen komen. Impact: hoog.
- Ongeoorloofde toegang binnen een club: een gebruiker met een lage rol (bijvoorbeeld een gewoon lid) die gegevens ziet die enkel voor bestuur of coach bestemd zijn. Impact: gemiddeld tot hoog.
- Cross-tenant lek: gegevens van club A die zichtbaar worden voor club B door een fout in de multi-tenant isolatie. Impact: hoog.
- Verlies van beschikbaarheid of integriteit: gegevens die verloren gaan, ontoegankelijk worden of foutief gewijzigd worden door een technisch incident of menselijke fout. Impact: gemiddeld.
- Doorgifte naar dienstverleners: verwerking door subverwerkers (hosting, database, e-mail, betaling) waarvan sommige moederbedrijven buiten de EU gevestigd zijn. Impact: gemiddeld, mits passende waarborgen (zie sectie 6).
6. Verwerkers, subverwerkers en internationale doorgifte
KLUPP werkt met een beperkt aantal technische dienstverleners die als subverwerker optreden. Met elke subverwerker wordt een verwerkersovereenkomst (art. 28 AVG) afgesloten en de subverwerkers worden aan de clubs meegedeeld.
De persoonsgegevens worden opgeslagen en verwerkt binnen de Europese Unie. Waar een dienstverlener een moederbedrijf in de Verenigde Staten heeft, gebeurt de doorgifte op basis van de standaardcontractbepalingen van de Europese Commissie (SCC's), aangevuld met de nodige aanvullende maatregelen.
Actiepunt voor de DPO of jurist: de lijst van subverwerkers, de verwerkersovereenkomsten en de doorgiftemechanismen moeten voor de lancering worden nagekeken en up-to-date gehouden.
- Neon: gehoste PostgreSQL-database, EU-regio (Frankfurt).
- Vercel: hosting van de applicatie, EU-regio.
- E-mailprovider (EU): later toe te voegen voor transactionele en clubcommunicatie.
- Mollie (mogelijk): betaalprovider voor lidgeld, indien geactiveerd.
- US-bedrijven onder SCC's: doorgifte enkel met passende waarborgen; de data zelf blijft in de EU.
7. Bewaartermijnen
De gegevens worden niet langer bewaard dan nodig voor de doeleinden waarvoor ze verwerkt worden (opslagbeperking, art. 5.1 e AVG). De volgende termijnen worden gehanteerd.
- Ledendata: tot 5 jaar na uitschrijving van het lid.
- Medische noodinformatie: enkel tijdens de duur van het lidmaatschap; daarna wordt deze verwijderd.
- Betalings- en boekhouddata: 7 jaar, op grond van de fiscale bewaarplicht.
- Communicatiegegevens: beperkt bewaard, afhankelijk van de operationele noodzaak.
8. Beveiligings- en beheersmaatregelen
KLUPP neemt passende technische en organisatorische maatregelen om de geidentificeerde risico's te beheersen (art. 32 AVG). De onderstaande maatregelen zijn rechtstreeks gekoppeld aan de risico's uit sectie 5.
Deze maatregelen worden regelmatig herzien. Actiepunt voor de DPO of jurist: laat de maatregelen technisch en juridisch valideren en documenteer het testbeleid voor de tenant-isolatie.
- Multi-tenant isolatie via row-level security per club, om cross-tenant lekken te voorkomen.
- Rollen en rechten via server-side RBAC, zodat gebruikers enkel de gegevens zien die bij hun rol horen.
- Versleuteling van de medische noodinformatie (AES-256), met toegang beperkt tot bestuur en coach.
- Toegangslogging: elke inzage van medische data wordt gelogd, zodat misbruik traceerbaar is.
- Versleutelde verbindingen (HTTPS) voor alle dataverkeer.
- Magic-link login zonder wachtwoorden, wat het risico op zwakke of gelekte wachtwoorden wegneemt.
- Dataminimalisatie: enkel noodzakelijke gegevens worden verzameld en de medische info blijft beperkt tot noodinformatie.
9. Rechten van de betrokkenen
Betrokkenen (of hun ouders bij minderjarigen) kunnen hun rechten uitoefenen. Omdat de club verwerkingsverantwoordelijke is voor de ledendata, verloopt een verzoek in principe via de club; KLUPP ondersteunt de club hierbij als verwerker.
De betrokkene kan een klacht indienen bij de toezichthouder: de Gegevensbeschermingsautoriteit (GBA), Drukpersstraat 35, 1000 Brussel, contact@apd-gba.be.
- Recht op inzage
- Recht op correctie
- Recht op verwijdering
- Recht op beperking van de verwerking
- Recht op overdraagbaarheid
- Recht van bezwaar
- Recht om klacht in te dienen bij de GBA
10. Datalekken
Bij een (vermoedelijk) datalek stelt KLUPP als verwerker de betrokken club (verwerkingsverantwoordelijke) zonder onnodige vertraging op de hoogte, zodat de club haar verplichtingen kan nakomen.
Waar van toepassing moet een datalek met risico voor de betrokkenen binnen 72 uur aan de GBA worden gemeld (art. 33 AVG) en, bij hoog risico, aan de betrokkenen zelf (art. 34 AVG). Gezien de aanwezigheid van medische data en gegevens van minderjarigen wordt hier bijzondere waakzaamheid gehanteerd.
Actiepunt voor de DPO of jurist: leg de interne datalekprocedure en de rolverdeling tussen club en KLUPP schriftelijk vast.
11. Restrisico en conclusie
Na toepassing van de maatregelen uit sectie 8 wordt het restrisico als aanvaardbaar ingeschat voor de gewone ledengegevens. Voor de medische noodinformatie en de gegevens van minderjarigen blijft verhoogde waakzaamheid vereist, ondersteund door versleuteling, strikte toegangscontrole en logging.
Op basis van deze concept-beoordeling lijkt een voorafgaande raadpleging van de GBA (art. 36 AVG) niet nodig, aangezien de maatregelen het hoge risico afdoende beheersen. Dit oordeel moet echter door de DPO of jurist worden bevestigd voor de lancering.
Deze DPIA is een levend document en wordt herzien bij belangrijke wijzigingen aan het platform, de gegevensstromen of de subverwerkers.
12. Openstaande actiepunten voor DPO of jurist
De volgende punten moeten voor de echte lancering worden nagekeken en afgewerkt.
- Valideren van de toestemmingsteksten en het mechanisme om leeftijd en ouderlijke toestemming vast te leggen (spelers onder 13 jaar).
- Nakijken en afsluiten van de verwerkersovereenkomsten met de clubs (art. 28) en met alle subverwerkers.
- Bevestigen van de subverwerkerslijst en de doorgiftemechanismen (SCC's) voor dienstverleners met een US-moederbedrijf.
- Vastleggen van de interne datalekprocedure en de rolverdeling club/KLUPP.
- Bevestigen van de restrisico-inschatting en van het oordeel over de voorafgaande raadpleging (art. 36).
- Formele nazicht en goedkeuring van dit concept door de DPO of een gespecialiseerde jurist.